Rootkity i inne nieszczęścia

2008-12-05 11:42

Jedną z rzeczy, którą musiałem wykonać w trakcie (tymczasowej) przesiadki na komputer stacjonarny, było dogłębne sprawdzenie go programem antywirusowym – co “z pewnych względów” nie było czynione przez dobrych kilka miesięcy :) Skan nie wykrył aczkolwiek w zasadzie nic bardziej niebezpiecznego niż typowe ‘śledzące ciasteczka’ (tracking cookie). Dopiero później zaczęło się robić ciekawie.
Zło (i to przez duże Z) zostało bowiem wkrótce wykryte przez skaner działający w tle, który zidentyfikował je heurystycznie jako rootkit i oprócz tej informacji nie powiedział zresztą nic więcej. Przyznam, że było to moje pierwsze zetknięcie z tego typu szkodnikami, więc tym bardziej energicznie zabrałem się do rozwiązywania problemu – zwłaszcza że ze wszystkich typów złośliwego oprogramowania to właśnie rootkity sa zdecydowanie najgroźniejsze.
Na szczęście ten okazał się dość znanym i nawet nieszczególnie niebezpiecznym drobnoustrojem, przenoszącym się – o dziwo – nie przez sieć, lecz przez dyski wymienne. Zapewne dlatego też moje kilkugodzinne starcie z przeciwnikiem zakończyło się (prawdopodobnie) sukcesem, zaś wnioski z tego są następujące:

  • Antywirusy nie radzą sobie z rootkitami i zwykle potrafią jedynie zasygnalizować, że w systemie “coś siedzi”. Do wykrywania rootkitów istnieją dedykowane programy, których najlepiej jest używać grupowo, a i tak pozytywnym wynikom nie należy do końca ufać.
  • Google pomaga :) Jedną z dobrych metod identyfikacji niechcianych programów jest bowiem przejrzenie listy procesów (stworzonej przez narzędzie w rodzaju IceSword) i kolejne sprawdzenie wszystkich potencjalnie podejrzanych pozycji poprzez wyszukanie informacji na ich temat w Internecie.
  • Najbardziej znanym narzędziem do usuwania rootkitów jest ComboFix, który pomógł zresztą w moim przypadku. W ogólności jednak naprawa może być niemożliwa. Tak naprawdę zaleca się zresztą, by po wykryciu rootkita poważnie zastanowić nad sformatowaniem dysku i odbudową systemu od podstaw. Brr :)

Krótko mówiąc, wykrywanie i walka z tym rodzajem szkodliwego oprogramowania to coś znacznie poważniejszego niż wciśnięcie przycisku Scan i czekanie na wyniki :] Rezultaty też nigdy nie są pewne.

O reinstalacji systemu na komputerze stacjonarnym trzeba więc będzie pomyśleć jak najszybciej, a od wczoraj stało się to prostsze, gdyż mój laptop wrócił z naprawy. Okazało się, że konieczna była wymiana płyty głównej (!) – oryginalna prawdopodobnie miała fabryczną usterkę… No cóż, dobrą stroną jest to, że za tę skomplikowaną operację nie musiałem zapłacić ani grosza; niech żyją gwarancje :)

Tags:
Author: Xion, posted under Applications, Life »


11 comments for post “Rootkity i inne nieszczęścia”.
  1. Gynvael:
    December 5th, 2008 o 12:01

    Pochwal się jakiego rootkita miałeś ;>

  2. krajek:
    December 5th, 2008 o 12:10

    Dokładnie ten sam problem miałem tydzień temu, to samo rozwiązanie + programik flash desinfektor.

  3. mechanik:
    December 5th, 2008 o 17:59

    Niech zyja gwarancje ;)
    Zazwyczaj 24 miesiące :P

  4. Netrix:
    December 5th, 2008 o 19:22

    Tak, pod warunkiem, że podczas naprawy czegoś nie zepsują. Mój laptop był 2x na gwarancji.

  5. rAum:
    December 5th, 2008 o 21:03

    Właśnie, co to za łootkita wytępiłeś ? :P
    Ja osobiście napisałem prosty programik do usuwania/informowania o takich żyjątkach w chwili gdy włożę pamięć masową :)

  6. Reg:
    December 7th, 2008 o 13:34

    A dowiedziałeś się może przy okazji czegoś na temat jak uodpornić się na autouruchamianie wirusów przenoszonych przez pamięci Flash?

  7. krajek:
    December 7th, 2008 o 18:55

    Reg, zobacz ten flash disinfector o którym pisałem wyżej. Na dysku robi katalog autorun.inf (czy coś takiego) którego robaczek nie umie nadpisać. Mi pomogło ;).

  8. hejmus:
    December 7th, 2008 o 23:11

    Aż pojawi się coś radzącego sobie z katalogiem :) Pewniejszy jest magiczny wpis do rejestru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\autorun.inf\@ = @SYS:DontExists

    Skutecznie blokuje wszelkie pliki autorun.inf ;)

  9. Xion:
    December 8th, 2008 o 21:31

    @Gynvael: To coś siedziało w %WINDIR% jako plik wykonywalny kamsoft.exe.

    @Reg: Tak – wyłączyłem całkiem autorun :)

  10. Asmodeusz:
    December 9th, 2008 o 18:44

    Rótkit na stacjonarnym, laptop w naprawie – komórki nie miałeś? ;)

    Co do radzenia sobie z drobnoustrojami: DEP, no-signed-lock (każdy niepodpisany cyfrowo przez “zaufanego dostawcę” – czyli M$ i kumpli – plik EXE/DLL/COM/BAT/PS1 jest blokowany bez zapytania, trzeba podpisać EXEka z konsoli żeby ruszył) i 64-bit OS z domyślnie wyłączoną emulacją dla programów 32-bit (dostępną pod RMB->”Run as 32-bit app (WoW)”) definitywnie rozwiązuje problem ze szkodnikami. Polecam :)

  11. cyberion:
    December 11th, 2008 o 17:37

    @Reg tak :] wyłączyć skanowanie USB-ków itd :P możesz utworzyć na pendrivie autorun.inf i dać tylko do Odczytu i go ukryć :)
    Jak się dba o system to się nie ma syfu :P

    Proste nie ;)

Comments are disabled.
 


© 2017 Karol Kuczmarski "Xion". Layout by Urszulka. Powered by WordPress with QuickLaTeX.com.